Honeypot'lar ve Honeynet'ler

Güvenlik BT uzmanlarının çalışmalarının bir kısmı, saldırı girişimlerinin özelliklerini değerlendirmek için daha sonraki analizler için bilgi toplayarak bilgisayar korsanları tarafından kullanılan saldırı türleri veya teknikleri hakkında bilgi edinmektir. Bazen bu bilgi toplama, faaliyetlerinin izlendiğini bilmeden hareket eden potansiyel saldırganların şüpheli faaliyetlerini kaydetmek için tasarlanmış yem veya tuzaklar aracılığıyla yapılır. BT güvenliğinde bu yemlere veya tuzaklara denir. bal küpleri .

Bal küpleri ve bal ağları nelerdir:

İLE bal küpü gerçekten saldırganların etkinliklerinin kaydedicisi olan bir hedefi simüle eden bir uygulama olabilir. Birden çok hizmeti, cihazı ve uygulamayı simüle eden birden çok Honeypot bal ağları .

Honeypot'lar ve Honeynet'ler hassas bilgileri saklamaz, ancak Honeypot'larla ilgilenmelerini sağlamak için saldırganlara sahte çekici bilgiler depolar; Başka bir deyişle Honeynet'ler, saldırı tekniklerini öğrenmek için tasarlanmış hacker tuzaklarından bahsediyor.

Honeypot'lar bize iki fayda sağlar: birincisi, üretim cihazımızı veya ağımızı düzgün bir şekilde güvence altına almak için saldırıları öğrenmemize yardımcı olurlar. İkincisi, güvenlik açıklarını simüle eden bal küplerini üretim cihazlarının veya ağların yanında tutarak, bilgisayar korsanlarının dikkatini güvenli cihazlardan uzak tutuyoruz. Sömürebilecekleri güvenlik açıklarını simüle eden bal küplerini daha çekici bulacaklar.

Bal küpü türleri:

Üretim Honeypot'ları:
Bu tür bal küpü, altyapıdaki sistemlere saldırmak için kullanılan teknikler hakkında bilgi toplamak için bir üretim ağına kurulur. Bu tür balküpleri, ağ meşru kullanıcılarının izin verilmeyen veya yasaklanmış kaynaklara erişmeye yönelik dahili girişimlerini tespit etmek için belirli bir ağ segmenti içindeki bal küpünün konumundan, bir web sitesi veya hizmetin klonuna kadar çok çeşitli olanaklar sunar. yem olarak orijinal. Bu tür bir bal küpünün en büyük sorunu, meşru olanlar arasında kötü niyetli trafiğe izin vermesidir.

Geliştirme balküpleri:
Bu tür bal küpü, bilgisayar korsanlığı eğilimleri, saldırganlar tarafından istenen hedefler ve saldırı kökenleri hakkında daha fazla bilgi toplamak için tasarlanmıştır. Bu bilgiler daha sonra güvenlik önlemlerinin uygulanmasına ilişkin karar verme süreci için analiz edilir.
Bu tip balküplerinin en büyük avantajı üretimin aksine; balküpleri geliştirme balküpleri araştırmaya adanmış bağımsız bir ağ içinde yer alır; bu savunmasız sistem, bal küpünün kendisinden bir saldırıyı önleyen üretim ortamından ayrılır. Başlıca dezavantajı, onu uygulamak için gerekli kaynakların sayısıdır.

Saldırganlarla olan etkileşim düzeyine göre tanımlanan 3 farklı bal küpü alt kategorisi veya sınıflandırma türü vardır.

Düşük Etkileşimli Honeypot'lar:

Honeypot, güvenlik açığı bulunan bir hizmeti, uygulamayı veya sistemi öykünür. Bunun kurulumu çok kolaydır ancak bilgi toplarken sınırlıdır; bu tür balküplerine bazı örnekler:

• bal kapanı : ağ hizmetlerine yönelik saldırıları gözlemlemek için tasarlanmıştır; Kötü amaçlı yazılımları yakalamaya odaklanan diğer bal küplerinin aksine, bu bal küpü türü, açıkları yakalamak için tasarlanmıştır.
• Nefentes : olası saldırılar hakkında bilgi toplamak için bilinen güvenlik açıklarını taklit eder; solucanların açıkları yaymak için açıkları taklit etmek için tasarlanmıştır, ardından Nephentes daha sonraki analizler için kodlarını yakalar.
• tatlımC : farklı istemcileri taklit ederek ve isteklere yanıt verirken sunucu yanıtlarını toplayarak ağ içindeki kötü amaçlı web sunucularını tanımlar.
• tatlımD : farklı işletim sistemlerinde yürütmeyi simüle eden rastgele hizmetleri çalıştırmak üzere yapılandırılabilen bir ağ içinde sanal ana bilgisayarlar oluşturan bir arka plan programıdır.
• Glastopf : Web uygulamalarına karşı saldırı bilgisi toplamak için tasarlanmış binlerce güvenlik açığını taklit eder. Kurulumu kolaydır ve bir kez arama motorları tarafından indekslenir; bilgisayar korsanları için çekici bir hedef haline gelir.

Orta Etkileşimli Honeypot'lar:

Bu senaryoda, Honeypot'lar yalnızca bilgi toplamak için tasarlanmamıştır; etkileşim etkinliğini kapsamlı bir şekilde kaydederken saldırganlarla etkileşim kurmak için tasarlanmış bir uygulamadır; saldırganın bekleyebileceği tüm yanıtları sunabilen bir hedefi simüle eder; bu türden bazı bal küpleri şunlardır:

• Cowrie: Kaba kuvvet saldırılarını günlüğe kaydeden ve bilgisayar korsanlarının etkileşimi kesen bir ssh ve telnet bal küpü. Bir Unix işletim sistemine öykünür ve saldırganın etkinliğini günlüğe kaydetmek için bir proxy olarak çalışır. Bu bölümden sonra, Cowrie uygulaması için talimatları bulabilirsiniz.
• yapışkan_fil : bir PostgreSQL bal küpüdür.
• eşekarısı : WordPress siteleri için /wp-admin gibi yöneticiler için genel erişim giriş sayfasına sahip web siteleri için tasarlanmış sahte kimlik bilgileri istemine sahip bal küpü-yaban arısının geliştirilmiş bir sürümü.

Yüksek Etkileşimli Honeypot'lar:

Bu senaryoda, Honeypot'lar yalnızca bilgi toplamak için tasarlanmamıştır; etkileşim etkinliğini kapsamlı bir şekilde kaydederken saldırganlarla etkileşim kurmak için tasarlanmış bir uygulamadır; saldırganın bekleyebileceği tüm yanıtları sunabilen bir hedefi simüle eder; bu türden bazı bal küpleri şunlardır:

• yaralar : bir HIDS (Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi) olarak çalışır ve sistem etkinliği hakkında bilgi yakalamaya olanak tanır. Bu, toplanan bilgileri yakalayıp sunucuya gönderen bal küplerini Linux, Unix ve Windows üzerinde dağıtabilen bir sunucu-istemci aracıdır.
• bal yayı : bilgi toplamayı artırmak için düşük etkileşimli balküpleri ile entegre edilebilir.
• HI-HAT (Yüksek Etkileşimli Honeypot Analiz Araç Takımı) : bilgileri izlemek için kullanılabilen bir web arayüzü ile PHP dosyalarını yüksek etkileşimli bal küplerine dönüştürür.
• Yakalama-HPC : HoneyC'ye benzer, özel bir sanal makine kullanarak istemcilerle etkileşime girerek ve yetkisiz değişiklikleri kaydederek kötü amaçlı sunucuları tanımlar.

Aşağıda orta etkileşimli bir bal küpü pratik örneğini bulabilirsiniz.

SSH saldırıları hakkında veri toplamak için Cowrie'yi dağıtma:

Daha önce de belirtildiği gibi, Cowrie, ssh hizmetini hedefleyen saldırılar hakkında bilgi kaydetmek için kullanılan bir bal küpüdür. Cowrie, herhangi bir saldırganın sahte bir terminale erişmesine izin veren savunmasız bir ssh sunucusunu simüle ederek, saldırganın etkinliğini kaydederken başarılı bir saldırıyı simüle eder.

Cowrie'nin sahte bir savunmasız sunucuyu simüle etmesi için 22 numaralı bağlantı noktasına atamamız gerekiyor. Bu nedenle dosyayı düzenleyerek gerçek ssh bağlantı noktamızı değiştirmemiz gerekiyor. /etc/ssh/sshd_config Aşağıda gösterildiği gibi.

Satırı düzenleyin ve 49152 ile 65535 arasındaki bir bağlantı noktası için değiştirin.

Yeniden başlatın ve hizmetin düzgün çalıştığını kontrol edin:

Debian tabanlı Linux dağıtımlarında sonraki adımlar için gerekli tüm yazılımları yükleyin:

Aşağıdaki komutu çalıştırarak cowrie adlı ayrıcalıksız bir kullanıcı ekleyin.

Debian tabanlı Linux dağıtımlarında, aşağıdaki komutu çalıştırarak authbind'i kurun:

Aşağıdaki komutu çalıştırın.

Aşağıdaki komutu çalıştırarak sahipliği değiştirin.

İzinleri değiştir:

olarak giriş yap deniz kabuğu

Cowrie'nin ana dizinine gidin.

Aşağıda gösterildiği gibi git kullanarak cowrie bal küpünü indirin.

Cowrie dizinine taşıyın.

Dosyadan kopyalayarak varsayılanı temel alan yeni bir yapılandırma dosyası oluşturun /etc/cowrie.cfg.dist'ten cowrie.cfg'ye Cowrie'nin dizini içinde aşağıda gösterilen komutu çalıştırarak/

Oluşturulan dosyayı düzenleyin:

Aşağıdaki satırı bulun.

2222 numaralı bağlantı noktasını aşağıda gösterildiği gibi 22 ile değiştirerek satırı düzenleyin.

Nano'yu kaydedin ve çıkın.

Bir python ortamı oluşturmak için aşağıdaki komutu çalıştırın:

Bir sanal ortamı etkinleştirin.

Aşağıdaki komutu çalıştırarak pip'i güncelleyin.

Aşağıdaki komutu çalıştırarak tüm gereksinimleri yükleyin.

Cowrie'yi aşağıdaki komutla çalıştırın:

Honeypot'u çalıştırarak dinlediğini kontrol edin.

Şimdi 22 numaralı bağlantı noktasına giriş denemeleri, cowrie'nin dizini içindeki var/log/cowrie/cowrie.log dosyasına kaydedilecektir.

Daha önce de belirtildiği gibi, Honeypot'u sahte, savunmasız bir kabuk oluşturmak için kullanabilirsiniz. Cowries, kabuğa erişmesine izin verilen kullanıcıları tanımlayabileceğiniz bir dosya içerir. Bu, bir bilgisayar korsanının sahte kabuğa erişebileceği kullanıcı adları ve şifrelerin bir listesidir.

Liste formatı aşağıdaki resimde gösterilmektedir:

Cowries dizininden aşağıdaki komutu çalıştırarak, test amacıyla deniz kabuğu varsayılan listesini yeniden adlandırabilirsiniz. Bunu yaparak, kullanıcılar şifre kullanarak root olarak giriş yapabilecekler. kök veya 123456 .

Aşağıdaki komutları çalıştırarak Cowrie'yi durdurun ve yeniden başlatın:

Şimdi, içinde bulunan bir kullanıcı adı ve şifreyi kullanarak ssh üzerinden erişmeye çalışmayı test edin. kullanıcıdb.txt liste.

Gördüğünüz gibi, sahte bir kabuğa erişeceksiniz. Ve bu kabukta yapılan tüm faaliyetler, aşağıda gösterildiği gibi deniz kabuğu günlüğünden izlenebilir.

Gördüğünüz gibi, Cowrie başarıyla uygulandı. Cowrie hakkında daha fazla bilgiyi adresinde bulabilirsiniz. https://github.com/cowrie/ .

Çözüm:

Honeypot uygulaması yaygın bir güvenlik önlemi değildir, ancak gördüğünüz gibi ağ güvenliğini güçlendirmenin harika bir yoludur. Honeypot'ları uygulamak, güvenliği artırmayı, bilgisayar korsanlarını etkinliklerini, tekniklerini, kimlik bilgilerini ve hedeflerini ortaya çıkararak işbirlikçilere dönüştürmeyi amaçlayan veri toplamanın önemli bir parçasıdır. Ayrıca, bilgisayar korsanlarına sahte bilgi sağlamanın müthiş bir yoludur.

Honeypots ile ilgileniyorsanız, muhtemelen IDS (Intrusion Detection Systems) sizin için ilginç olabilir; LinuxHint'te onlar hakkında birkaç ilginç öğreticimiz var:

• Snort IDS'yi yapılandırın ve kurallar oluşturun
• OSSEC'e (İzinsiz Giriş Tespit Sistemi) başlarken

Umarım Bal Küpleri ve Bal Ağları ile ilgili bu makaleyi faydalı bulmuşsunuzdur. Daha fazla Linux ipucu ve öğreticisi için Linux İpucunu takip etmeye devam edin.